Complete handleiding voor Azure AD Connect en Microsoft Entra Connect

Azure AD Connect (nu Microsoft Enter Connect) Het is de sleutel tot het verbinden van uw on-premises Active Directory met de Microsoft-cloud: Azure AD en Microsoft 365. Dankzij deze tool kunnen uw gebruikers zowel on-premises als in de cloud met dezelfde gebruikersnaam en hetzelfde wachtwoord inloggen, waardoor dubbele accounts worden voorkomen en de IT-afdeling minder problemen ondervindt.

Gedurende deze handleiding Je ziet de volledige cyclus in detail: het voorbereiden van de on-premises omgeving, het creëren van het domein en de Active Directory-forest, het configureren van Microsoft Entra ID, het installeren en configureren van Azure AD Connect, authenticatiemethoden, objectfiltering en geavanceerde functies zoals wachtwoordhashsynchronisatie, write-back en het gebruik van Microsoft Entra Connect Health om de infrastructuur te bewaken.

Wat is Azure AD Connect en waarvoor wordt het gebruikt?

Azure AD Connect is het officiële hulpprogramma van Microsoft. Het fungeert als een "brug" tussen uw on-premises Active Directory en Azure Active Directory, en integreert ook met Microsoft 365. Het zorgt ervoor dat de identiteiten die u al in uw on-premises domein hebt, worden gesynchroniseerd met de cloud, zodat de gebruiker dezelfde referenties in beide omgevingen gebruikt en, indien gewenst, kan profiteren van single sign-on (SSO).

De Azure AD Connect-client is geïnstalleerd op een lidserver. van het domein, en hoewel het technisch gezien op een domeincontroller kan worden geïnstalleerd, raadt Microsoft dit af vanwege beveiligings- en service-isolatieoverwegingen. Deze server is verantwoordelijk voor het periodiek synchroniseren van gebruikers, groepen en andere objecten vanuit uw Active Directory met Azure AD.

Na configuratie kunt u Azure AD Connect gebruiken. Het kan verschillende authenticatiemodellen gebruiken: wachtwoordhashsynchronisatie (PHS), pass-through-authenticatie (PTA), federatie met AD FS of federatie met providers zoals PingFederate. Het biedt ook opties zoals SSO, filteren op organisatie-eenheden of groepen, bescherming tegen massale verwijderingen en automatische productupdates.

In scenario's waarin u al met Microsoft 365 werkt En als u gebruikers hebt die alleen in de cloud actief zijn, kunt u met Azure AD Connect identiteiten verenigen: als de UPN en het e-mailadres van een lokale gebruiker overeenkomen met die van de gebruiker in de cloud, zal die gebruiker na synchronisatie niet langer alleen in de cloud actief zijn, maar een gesynchroniseerde gebruiker uit Active Directory worden. Hierdoor wordt het beheer van attributen gecentraliseerd in uw lokale directory.

De lokale Active Directory-omgeving voorbereiden

Voordat je ook maar iets met Azure gaat synchroniseren, moet je eerst iets doen.Je hebt een functionele Active Directory-omgeving nodig. Als je al een bedrijfsdomein in productie hebt, kun je dat gebruiken; zo niet, dan kun je een testomgeving helemaal opnieuw opzetten om alle hybride identiteitsscenario's te testen zonder je productieomgeving te beïnvloeden.

Het doel van dit lab is om een ​​server te creëren. die zal fungeren als domeincontroller (DC) en de Active Directory-domeinserver (AD DS), DNS en beheertools hosten. Dit alles kan worden ingesteld op een Hyper-V virtuele machine met Windows Server, met behulp van PowerShell-scripts die een groot deel van het werk automatiseren.

Het aanmaken van de virtuele machine voor de domeincontroller

De eerste stap is het creëren van een virtuele machine. die zal functioneren als een on-premises Active Directory-server. Om dit te doen, kunt u PowerShell ISE als beheerder openen op de Hyper-V-host en een script uitvoeren dat de VM-naam, netwerkswitch, VHDX-pad, schijfgrootte en installatiemedia (Windows Server ISO) definieert.

Dit script maakt een virtuele machine van de tweede generatie aan.Met vast geheugen wordt een nieuwe virtuele schijf aangemaakt en een virtueel dvd-station gekoppeld dat verwijst naar de ISO-image van het besturingssysteem. De firmware van de machine wordt vervolgens geconfigureerd om in eerste instantie vanaf de dvd op te starten, waardoor u de systeeminstallatie interactief kunt uitvoeren.

Zodra de virtuele machine is aangemaakt, is dit gebeurd.Vanuit Hyper-V Manager moet u de server starten, verbinding maken met de console en een standaard Windows Server-installatie uitvoeren: selecteer uw taal, voer de productcode in, accepteer de licentievoorwaarden, kies voor een aangepaste installatie en gebruik de zojuist gemaakte schijf. Nadat de installatie is voltooid, start u de server opnieuw op, meldt u zich aan en installeert u alle beschikbare updates.

Initiële configuratie van de Windows Server

Met het besturingssysteem reeds geïnstalleerd.De server moet worden voorbereid om de Active Directory Domain Services-rol te ontvangen. Dit houdt in dat er een consistente naam aan de server moet worden toegewezen (bijvoorbeeld DC1), een statisch IP-adres moet worden geconfigureerd, DNS-instellingen moeten worden gedefinieerd en de benodigde beheertools moeten worden toegevoegd met behulp van Windows-functies.

Met behulp van een ander PowerShell-script Je kunt deze taken automatiseren: het instellen van het IP-adres, het subnetmasker, de gateway en de DNS-servers (meestal de server zelf en, als secundaire optie, een openbare DNS-server zoals 8.8.8.8), het hernoemen van de computer en het installeren van de Active Directory RSAT's, en het vastleggen van alles in een logbestand voor controledoeleinden.

Na het toepassen van deze wijzigingen De server zal opnieuw opstarten en klaar zijn om te worden gepromoveerd tot domeincontroller in een nieuw forest, zodat uw on-premises AD-omgeving operationeel is voor testen of voor daadwerkelijke integratie met de cloud.

Het Active Directory-forest en -domein aanmaken

De volgende stap is het installeren van AD DS., DNS en de Group Policy Management Console (GPMC), en maak vervolgens een nieuwe Active Directory-forest aan. Ook hier geldt dat PowerShell het proces kan versnellen door de benodigde functies te installeren en de cmdlet Install-ADDSForest met alle vereiste parameters uit te voeren.

In de forestdefinitie geef je de domeinnaam op. (bijvoorbeeld contoso.com), NetBIOS-naam, paden naar de Active Directory-database (NTDS), logboeken en SYSVOL, evenals de functionele niveaus van het domein en de forest. Het wachtwoord voor de Directory Services Restore Mode (DSRM), essentieel voor hersteltaken, is ook gedefinieerd.

Wanneer de server na de promotie opnieuw opstartJe hebt al een Windows Server AD-omgeving met een operationeel domein, geïntegreerde DNS en alle benodigde tools om gebruikers, groepen, organisatie-eenheden en groepsbeleid te beheren.

Testgebruikers aanmaken in Active Directory

Nu het forest operationeel is, is het handig om testaccounts beschikbaar te hebben. Om de synchronisatie met Azure AD te controleren, kunt u een PowerShell-script gebruiken om bijvoorbeeld de gebruiker 'Allie McCray' aan te maken met een aanmeldingsnaam (samAccountName), een initieel wachtwoord, een weergavenaam en de optie om te voorkomen dat het wachtwoord verloopt.

Het script kan de gebruiker ook markeren. Deze optie is ingeschakeld om te voorkomen dat gebruikers hun wachtwoord bij de volgende aanmelding hoeven te wijzigen. Hierdoor worden ze in het juiste containerpad geplaatst (bijvoorbeeld CN=Users,DC=contoso,DC=com). Deze gebruikers worden vervolgens via Azure AD Connect gesynchroniseerd met hun Microsoft Entra-ID's.

Het lokale domein voorbereiden voor synchronisatie.

Voordat u Azure AD Connect implementeert, is het raadzaam uw Active Directory te controleren. Om ervoor te zorgen dat het voldoet aan de eisen van Microsoft: correct geconfigureerde domeinen, juiste UPN-achtervoegsels, consistente e-mailkenmerken en geen tegenstrijdige gegevens. Hiervoor biedt Microsoft de IdFix-tool aan, die helpt bij het detecteren van problematische objecten.

In veel omgevingen is er sprake van een lokaal domein. van het type mydomain.local en, aan de andere kant, een openbaar e-maildomein, bijvoorbeeld mydomain.com, zoals gebruikt in Microsoft 365. Voor een vlotte synchronisatie is het aan te raden het UPN-achtervoegsel dat overeenkomt met het openbare e-maildomein toe te voegen aan de lokale Active Directory.

Uit “Active Directory-domeinen en -vertrouwensrelaties” U kunt de eigenschappen openen en het nieuwe UPN-achtervoegsel toevoegen (bijvoorbeeld mydomain.com). Wijzig vervolgens in de gebruikersaccounteigenschappen, op het tabblad 'Account', de UPN van de gebruiker van user@mydomain.local naar user@mydomain.com, zodat deze overeenkomt met het e-mailadres in Microsoft 365.

Hoewel het sterk aanbevolen is om de UPN te wijzigen Om latere aanmeldingen en uiteindelijke SSO te vergemakkelijken, wordt de klassieke aanmeldingsmethode DOMAIN\gebruiker (van vóór Windows 2000) niet gewijzigd. Deze wijziging heeft dus geen invloed op toepassingen of scripts die deze indeling blijven gebruiken.

Het is ook belangrijk om het e-mailkenmerk correct in te vullen. van de gebruikersaccounts met hun primaire e-mailadres. Als u al gebruikers rechtstreeks in de cloud hebt aangemaakt, zorgt de combinatie van UPN en overeenkomend e-mailadres tussen on-premises en Microsoft 365 ervoor dat deze accounts na synchronisatie kunnen worden samengevoegd en de cloudgebruiker een gesynchroniseerde identiteit vanuit Active Directory wordt.

Microsoft Entra ID instellen en configureren (Azure AD)

Om de lokale map te synchroniseren U hebt een Microsoft Entra ID-tenant nodig. Deze tenant is de clouddirectory waarin replica's van uw gebruikers, groepen en apparaten uit de on-premises omgeving worden aangemaakt.

Als u nog geen huurder heeftJe kunt dit doen via het Microsoft-beheercentrum. Meld je aan met een account dat een abonnement heeft. Kies in het overzicht de optie 'Tenants beheren' en maak vervolgens een nieuwe tenant aan. Geef de organisatie een naam en kies een initieel domein (bijvoorbeeld iets.onmicrosoft.com).

Zodra de wizard klaar is, wordt de map aangemaakt. En je kunt het beheren via het portaal. Later kun je aangepaste domeinen (zoals contoso.com) koppelen en verifiëren om ze te gebruiken als primaire domeinen in de UPN's van je gebruikers die gesynchroniseerd zijn vanuit Active Directory.

Een beheerdersaccount voor hybride identiteiten aanmaken

In de Microsoft Entra-tenant wordt aanbevolen om het volgende te creëren: Er wordt een speciaal account gebruikt om de hybride component te beheren. Dit account wordt bijvoorbeeld gebruikt voor de initiële configuratie van Azure AD Connect en identiteitsgerelateerde taken.

Vanuit het gedeelte Gebruikers Je maakt een nieuwe gebruiker aan, wijst hem een ​​naam en gebruikersnaam (UPN) toe en wijzigt zijn rol naar 'Hybride identiteitsbeheerder'. Tijdens het aanmaken kun je het tijdelijke wachtwoord dat aan hem is toegewezen bekijken en kopiëren.

Na het aanmaken van dit account is het raadzaam om in te loggen. Ga met die gebruikersnaam en het tijdelijke wachtwoord naar myapps.microsoft.com om een ​​wachtwoordwijziging naar een permanent wachtwoord af te dwingen. Dit wordt de beheerdersidentiteit die u in verschillende stappen van de hybride installatie zult gebruiken.

Installatie van Azure AD Connect (Microsoft Entra Connect)

De lokale omgeving is gereed en de cloud-tenant is voorbereid.Je kunt Azure AD Connect nu installeren op een lokale server die lid is van een domein. Microsoft raadt af om een ​​domeincontroller te gebruiken om de risico's voor beveiliging en beschikbaarheid te minimaliseren.

Azure AD Connect downloaden Het is beschikbaar via de Azure Active Directory-portal, in het gedeelte Azure AD Connect, of rechtstreeks via het Microsoft Downloadcentrum. Nadat u het installatieprogramma hebt gedownload, voert u het uit op de aangewezen server.

De licentievoorwaarden worden geaccepteerd tijdens de installatiewizard. Je hebt twee opties: snelle installatie of aangepaste installatie. De snelle optie configureert standaard volledige Active Directory-synchronisatie met behulp van de methode 'wachtwoordhashsynchronisatie', terwijl de aangepaste optie veel meer controle biedt over attributen, domeinen, organisatie-eenheden (OU's), authenticatiemethoden en extra functies.

Bij typische installaties is het meestal interessanter. Kies het aangepaste pad, vooral als u wilt beperken welke organisatie-eenheden worden gesynchroniseerd, verschillende aanmeldmethoden wilt evalueren of te maken hebt met multi-forest-topologieën.

De inlogmethode configureren

Een van de belangrijkste punten in de assistent Het gaat om de authenticatiemethode die uw gebruikers gebruiken om toegang te krijgen tot cloudbronnen. Azure AD Connect biedt verschillende ingebouwde opties, elk met zijn eigen voordelen en vereisten.

1. Wachtwoordhashsynchronisatie (PHS)Deze methode synchroniseert met Azure AD. extra wachtwoordhash opgeslagen in uw on-premises Active Directory. De gebruiker meldt zich rechtstreeks aan bij de cloud met Azure AD, met hetzelfde wachtwoord als in de on-premises omgeving, maar het beheer vindt uitsluitend plaats binnen AD. Dit is het eenvoudigste model om te implementeren en het meest gebruikte.

2. Pass-through authenticatie (PTA)In dit geval worden wachtwoorden niet opgeslagen in Azure AD; wanneer een gebruiker probeert in te loggen, wordt de validatie doorgestuurd via on-premises agents die de referenties controleren aan de hand van de lokale AD. Hierdoor kunt u lokale toegangsbeperkingen, schema's, enzovoort toepassen, terwijl u de authenticatie binnen uw infrastructuur behoudt.

3. Federatie met AD FSAzure AD delegeert authenticatie aan een federatiesysteem gebaseerd op Active Directory Federation Services. Dit vereist de implementatie van AD FS-servers en doorgaans een webapplicatieproxy. Het is complexer om te onderhouden, maar biedt maximale controle en compatibiliteit met geavanceerde scenario's.

4. Federatie met PingFederate: vergelijkbaar met het vorige geval, maar met PingFederate als federatieoplossing in plaats van AD FS, voor organisaties die al over die identiteitsinfrastructuur beschikken.

5. Configureer de inlogmethode niet.: ontworpen voor situaties waarin u al een federatieoplossing van een derde partij gebruikt en niet wilt dat Azure AD Connect iets op dit gebied automatiseert.

Daarnaast kunt u single sign-on (SSO) inschakelen. In combinatie met PHS of PTA. Met ingeschakelde SSO en via een groepsbeleid (GPO) kunnen computers die lid zijn van een domein inloggen met de UPN van de gebruiker, meestal hetzelfde als hun e-mailadres. Hierdoor hoeven gebruikers niet steeds opnieuw hun inloggegevens in te voeren bij toegang tot services zoals de Microsoft 365-portal.

Verbinding maken met Microsoft 365 en de lokale Active Directory.

In de Azure AD Connect-wizard moet u het volgende opgeven: Allereerst hebt u de inloggegevens nodig van een Microsoft Entra-tenantbeheerder (bijvoorbeeld het eerder aangemaakte beheerdersaccount voor hybride identiteiten). Hiermee kan de tool de cloudcomponent configureren en de server registreren als synchronisatiebron.

Vervolgens worden inloggegevens opgevraagd van een account met de juiste machtigingen in de lokale Active Directory. Om de synchronisatieverbinding met het on-premises forest tot stand te brengen. Na validatie wordt de lokale directory toegevoegd aan de lijst met gegevensbronnen voor synchronisatie.

In de volgende stap kies je welk attribuut je als primaire gebruikersnaam wilt gebruiken. Voor cloudaccounts is de gebruikelijke aanpak het gebruik van userPrincipalName, maar in sommige gevallen kunt u kiezen voor het e-mailveld als dit consistent is en correct is geconfigureerd. U kunt ook aangeven of u wilt doorgaan zonder dat alle UPN-domeinen in Azure AD zijn geverifieerd (handig wanneer het AD-domein privé is).

OU-selectie en objectfiltering

Met Azure AD Connect kunt u definiëren welke subset u wilt gebruiken. Uw Active Directory-forest is gesynchroniseerd met de cloud. U kunt volledige domeinen, specifieke organisatie-eenheden selecteren of zelfs filteren op kenmerken om het zoekgebied te verfijnen.

In de praktijk is het meestal een goed idee. Begin met het synchroniseren van alleen de organisatie-eenheden (OU's) waar de gebruikers die deelnemen aan de pilot zich bevinden, of gebruik een specifieke beveiligingsgroep waarvan de leden in Azure AD worden gerepliceerd. Dit verkleint het risico op het synchroniseren van serviceaccounts, verouderde objecten of informatie die de on-premises omgeving niet mag verlaten.

Het is belangrijk op te merken dat latere wijzigingen Wijzigingen in de OU-structuur (hernoemen, containers verplaatsen, enz.) kunnen van invloed zijn op de filtering. Een veelgebruikte strategie is om het hele domein te synchroniseren, maar de filtering te beperken op basis van groepslidmaatschap, om overmatige afhankelijkheid van de organisatiestructuur te voorkomen.

Aanvullende configuratieopties

De laatste schermen van de assistent bieden Extra functies zijn onder andere het terugschrijven van wachtwoorden, het herschrijven van apparaatgegevens, hybride Exchange-integratie en bescherming tegen massale verwijderingen.

Uitgestelde wachtwoordaanmaak Het stelt gebruikers in staat hun wachtwoord vanuit de cloud te wijzigen of opnieuw in te stellen (bijvoorbeeld via het selfserviceportaal) en die wijziging wordt vervolgens ook doorgevoerd in de on-premises Active Directory, met inachtneming van het wachtwoordbeleid van de organisatie. Voor veel bedrijven is dit een aanzienlijk voordeel voor de ondersteuning.

Apparaat herschrijven Hiermee kunnen apparaten die geregistreerd staan ​​in Microsoft Entra ID worden teruggezet naar de lokale Active Directory, wat scenario's met voorwaardelijke toegang vergemakkelijkt waarbij u apparaten aan beide zijden moet bijhouden.

De functie om onbedoelde verwijderingen te voorkomen. Deze functie is standaard ingeschakeld en beperkt het aantal objecten dat in één synchronisatiecyclus kan worden verwijderd (bijvoorbeeld tot 500). Als deze limiet wordt overschreden, wordt de synchronisatie geblokkeerd om onbedoelde massale verwijderingen te voorkomen, wat cruciaal is in grote omgevingen.

Tot slot, automatische updates Deze functie is standaard ingeschakeld bij installaties met snelle installatie en zorgt ervoor dat Azure AD Connect altijd up-to-date is met de nieuwste versies, waardoor bugs worden verholpen en compatibiliteit wordt toegevoegd zonder dat u elke server handmatig hoeft bij te werken.

Controle van de synchronisatie en de dagelijkse werking

Na het voltooien van de installatie en de wizardAzure AD Connect kan direct een volledige synchronisatie starten als u dit hebt opgegeven. De wizard biedt de optie om direct na afloop een eerste synchronisatiecyclus uit te voeren. Dit wordt aanbevolen om te controleren of alles correct werkt.

Op de server waar u Azure AD Connect hebt geïnstalleerd U kunt de console 'Synchronisatieservice' openen via het Startmenu. Daar ziet u de uitvoeringsgeschiedenis, inclusief de eerste synchronisatie, eventuele fouten en details over het importeren, synchroniseren en exporteren van objecten.

Via de Microsoft 365-portal of de Microsoft-aanmeldingsportal. U kunt de gebruikerslijst controleren om te verifiëren of ze worden weergegeven als 'Gesynchroniseerd met Active Directory' in plaats van 'Alleen in de cloud'. Vanaf dat moment worden de belangrijkste kenmerken (voornaam, achternaam, e-mailadres, enz.) beheerd vanuit de lokale Active Directory.

Azure AD Connect voert een standaardcyclus uit. De synchronisatie vindt elke 30 minuten plaats, maar u kunt altijd handmatig een synchronisatie afdwingen met PowerShell als u wilt dat een wijziging direct wordt doorgevoerd. Het is raadzaam om dit gedrag te documenteren, zodat het supportteam weet wat ze kunnen verwachten.

Geavanceerde scenario's: meerdere forests en extra servers

In complexere organisaties U kunt meerdere Active Directory-forests tegenkomen, elk met een eigen domein en gebruikers. Er kunnen ook resourceforests zijn waar gekoppelde postvakken of andere services zich bevinden.

Azure AD Connect is klaar voor deze topologieën.Hiermee kunt u meerdere forests toevoegen als synchronisatiebronnen en een declaratief provisioningmodel toepassen. Dit betekent dat de regels voor het combineren, transformeren en doorgeven van attributen declaratief worden gedefinieerd en kunnen worden aangepast aan uw identiteitsontwerp.

Voor meer geavanceerde laboratoria Een tweede forest (bijvoorbeeld fabrikam.com) kan worden aangemaakt met een eigen domeincontroller (CP1) door de stappen voor het aanmaken van de virtuele machine, de systeeminstallatie, de IP- en DNS-configuratie, de promotie tot domeincontroller en het aanmaken van testgebruikers te herhalen. Dit maakt het mogelijk om scenario's met meerdere forests en cloudsynchronisatie met verschillende domeinen te testen.

In productieomgevingen wordt aanbevolen om te beschikken over Een Azure AD Connect-server wordt in de standby- of stagingmodus geplaatst. De staging-server bewaart een kopie van de configuratie en voert interne import en synchronisatie uit, maar exporteert geen wijzigingen naar Azure AD. In geval van een storing van de primaire server kunt u met minimale impact overschakelen naar de staging-server.

Microsoft Entra Connect Health: monitoring en waarschuwingen

Om de hybride identiteitsinfrastructuur onder controle te houdenMicrosoft biedt Microsoft Entra Connect Health aan, een premium oplossing die belangrijke componenten zoals Azure AD Connect (synchronisatie), AD FS en AD DS bewaakt en waarschuwingen, prestatiemetingen en gebruiksanalyses levert.

De operatie is gebaseerd op agenten. Deze agents worden geïnstalleerd op identiteitsservers: AD FS-servers, domeincontrollers en Azure AD Connect-servers. Ze sturen status- en prestatiegegevens naar de cloudservice, waar u deze kunt bekijken in de speciale Connect Health-portal.

Om te beginnen heb je vergunningen nodig. Voer bij Microsoft ID P1 of P2 (of een test-ID) in. Download vervolgens de Connect Health-agents vanuit de portal en installeer ze op elke relevante server. Na registratie detecteert de service automatisch welke rollen worden bewaakt.

Op het Connect Health-portaal vindt u verschillende panelen.Eén voor synchronisatieservices (Azure AD Connect), een andere voor federatieservices (AD FS) en nog een voor AD DS-forests. In elk daarvan kunt u actieve waarschuwingen, de replicatiestatus, mogelijke certificaatproblemen, authenticatiefouten en gebruikstrends bekijken.

Naast de technische aspecten biedt Connect Health ook diverse opties. Hiermee kunt u op rollen gebaseerde toegang (IAM) configureren en, optioneel, Microsoft toestemming geven om diagnostische gegevens alleen voor ondersteuningsdoeleinden te raadplegen. Deze optie is standaard uitgeschakeld, maar kan nuttig zijn als u geavanceerde Microsoft-ondersteuning nodig hebt om complexe problemen op te lossen.

Met dit complete ecosysteem opgezet—lokale Active Directory, Microsoft Entra ID, Azure AD Connect en Connect Health— U beschikt over een compleet hybride identiteitsplatform dat single sign-on, gecentraliseerd account- en wachtwoordbeheer, hoge beschikbaarheid en inzicht in de infrastructuurstatus biedt; een combinatie die het leven voor de eindgebruiker vereenvoudigt en u de controle geeft die u nodig hebt om veilig en flexibel te werken.